PappAI
Kostenlos testen

Datenverarbeitungsvertrag -- Vorlage

Übersicht über die DPA-Struktur von PappAI, wichtige technische Maßnahmen und die Liste der Unterauftragsverarbeiter.

Version 1.0 · Vorlage (erfordert rechtliche Prüfung vor vertraglicher Verwendung) · 21. Februar 2026

Dies ist eine technisch-operative Vorlage. Sie erfordert eine rechtliche Prüfung und Anpassung, bevor sie in einem vertraglichen Kontext verwendet wird.

DPA-Struktur

  1. Parteien (Verantwortlicher und Auftragsverarbeiter).
  2. Gegenstand und Zwecke der Verarbeitung.
  3. Dauer, Datenkategorien und betroffene Personen.
  4. Dokumentierte Weisungen des Verantwortlichen.
  5. Pflichten des Auftragsverarbeiters.
  6. Unterauftragsverarbeiter und Transfers außerhalb des EWR/UK.
  7. Sicherheitsmaßnahmen und Datenschutzverletzungsverfahren.
  8. Rechte betroffener Personen, Prüfungsrechte und Beendigung.

Wichtige technische Maßnahmen

  1. Rollenbasierte Zugriffskontrolle und Prinzip der minimalen Rechtevergabe.
  2. Verschlüsselung bei der Übertragung (TLS) und im Ruhezustand, soweit anwendbar.
  3. Umgebungstrennung: Entwicklung / Staging / Produktion.
  4. Operative und KI-Prüfprotokolle.
  5. Sicherung, Wiederherstellung und kontinuierliche Überwachung.
  6. Geheimnisverwaltung über einen dedizierten Secret Manager.

Aktuelle Unterauftragsverarbeiter

PappAI greift zur Bereitstellung des Dienstes auf die folgenden Unterauftragsverarbeiter zurück. Jeder Eintrag gibt den primären Zweck, das Verarbeitungsland und die Rechtsgrundlage für eine etwaige Datenübermittlung außerhalb der EU/des EWR an. Die Liste wird aktuell gehalten, und jede wesentliche Änderung wird den Verantwortlichen im Voraus mitgeteilt.

AnbieterZweckVerarbeitungslandDatenkategorienÜbermittlung / Garantien
Google Cloud Platform (Google LLC)Cloud-Hosting (Cloud Run, Cloud SQL), Objektspeicher (GCS), Protokollierung und Überwachung.EU regions (europe-west1) — corporate USAAlle Dienstdaten: klinische Daten, Kontodaten, Abrechnungsdaten, Betriebsprotokolle.EU SCC + DPA
Google Vertex AI (Google LLC)Generative KI-Inferenz für die Erstellung von Diätplanentwürfen und die Unterstützung der klinischen Analyse.EU multi-region — corporate USAPseudonymisierte Eingaben, die an das Modell übergeben werden; keine PII; kein Opt-in für das Training.EU SCC + DPA · no training opt-in
Firebase (Google LLC)Authentifizierung (Identitätstoken) und Zustellung von Push-Benachrichtigungen (FCM/APNs).USA — multi-regionNutzeridentität (E-Mail, Telefon), Geräte-Push-Token.EU SCC + DPA
Stripe Payments Europe LtdAbonnement-Abrechnung, Rechnungsstellung, Zahlungsabwicklung.Ireland (EU)Konto- und Abrechnungsdaten, Transaktionsverlauf. Keine klinischen Daten.Intra-EU
Brevo (Sendinblue SAS)Zustellung transaktionaler E-Mails (Konto- und Abrechnungsbenachrichtigungen, professionelle Vorlagen).France (EU)Empfänger-E-Mail, Nachrichteninhalt, Zustellstatus.Intra-EU
Twilio Ireland LtdSMS-/WhatsApp-Zustellung (Legacy-Kanal).Ireland (EU) — corporate USATelefonnummer des Empfängers, Nachrichteninhalt, Zustellungsmetadaten.EU SCC + DPA
Meta Platforms Ireland LtdWhatsApp Business Cloud API für vorlagenbasierte Patientenkommunikation.Ireland (EU) — corporate USATelefonnummer des Empfängers, Vorlagenvariablen, Zustellungsmetadaten.EU SCC + DPA
Google Analytics 4 (Google LLC)Aggregierte Nutzungsanalysen auf der öffentlichen Website und in der authentifizierten App.USA — corporatePseudonyme Identifikatoren, Seitenaufrufe, Interaktionsereignisse. Keine klinischen Daten.EU SCC + DPA · consent-gated
Microsoft Clarity (Microsoft Corporation)Anonymisierte UX-Analysen (Heatmaps, Sitzungswiederholungen).USA — corporatePseudonyme Identifikatoren, Interaktionsereignisse. Keine klinischen Daten; sensible Felder maskiert.EU SCC + DPA · consent-gated

Alle aufgeführten Unterauftragsverarbeiter verarbeiten Daten auf Grundlage schriftlicher Vereinbarungen mit DSGVO-konformen Garantien (DPAs, EU-Standardvertragsklauseln, soweit anwendbar). Klinische Patientendaten werden von keinem Unterauftragsverarbeiter zum Trainieren, Feinabstimmen oder Bewerten von KI-Modellen verwendet.

Geplante Anhänge

  1. Anhang A: Verarbeitungsdetails (Art. 28(3) GDPR).
  2. Anhang B: aktuelle Liste der Unterauftragsverarbeiter.
  3. Anhang C: technische und organisatorische Maßnahmen (TOMs).

Wir schatzen Ihre Privatsphare

Wir verwenden Cookies, um Ihre Erfahrung zu verbessern, den Website-Traffic zu analysieren und personalisierte Funktionen zu ermoglichen. Sie konnen alle Cookies akzeptieren, nicht wesentliche ablehnen oder Ihre Einstellungen verwalten. Cookie-Richtlinie